افزایش شدید کمپین‌های حمله هدفمند

حملات هدفمند - APT در سیستم‌های اطلاعاتی مهم با داده‌های زیاد و نفوذ زیاد، یکی از روندهای حمله‌ای بوده و هست که توسط بسیاری از گروه‌های هکری انتخاب شده است. این روند به طور فزاینده‌ای در حال افزایش است، زیرا بسیاری از سازمان‌ها و مشاغل، عملیات خود را به محیط دیجیتال، با دارایی‌های داده‌ای فزاینده و بزرگتر، منتقل می‌کنند.

در واقع، وضعیت امنیت اطلاعات شبکه در جهان و ویتنام در ماه‌های اول سال جاری به وضوح روند رو به رشد حملات هدفمند به سیستم‌های واحدهای فعال در زمینه‌های کلیدی مانند انرژی، مخابرات و... را نشان داده است. به طور خاص، در ویتنام، در نیمه اول سال 2024، حملات هدفمند با استفاده از باج‌افزار بر روی سیستم‌های VNDIRECT، PVOIL و... باعث اختلال در عملیات و آسیب مادی و تصویری به این مشاغل و همچنین فعالیت‌های مربوط به تضمین امنیت فضای مجازی ملی شده است.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
حمله عمدی با استفاده از بدافزار برای رمزگذاری داده‌ها به سیستم VNDIRECT در اوایل سال جاری، درس بزرگی برای واحدهای ویتنام در مورد تضمین امنیت اطلاعات است. عکس: DV

مرکز ملی نظارت بر امنیت سایبری - NCSC - زیرمجموعه وزارت امنیت اطلاعات، در اطلاعات تازه به اشتراک گذاشته شده اعلام کرد که اخیراً این واحد اطلاعاتی مربوط به کمپین‌های حمله سایبری را ثبت کرده است که عمداً از بدافزارهای پیچیده و تکنیک‌های حمله پیشرفته برای نفوذ به سیستم‌های اطلاعاتی مهم سازمان‌ها و مشاغل استفاده می‌کنند و هدف اصلی آنها حملات سایبری، سرقت اطلاعات و خرابکاری در سیستم است.

در هشدار ۱۱ سپتامبر که به واحدهای فناوری اطلاعات و امنیت اطلاعات وزارتخانه‌ها، شعب و ادارات محلی؛ شرکت‌های دولتی، شرکت‌های عمومی، ارائه‌دهندگان خدمات مخابراتی، اینترنتی و پلتفرم‌های دیجیتال و سازمان‌های مالی و بانکی ارسال شد، اداره امنیت اطلاعات اطلاعات دقیقی در مورد کمپین‌های حمله APT توسط سه گروه حمله ارائه داد: باج‌افزار Mallox، Lazarus و Stately Taurus (همچنین با نام Mustang Panda شناخته می‌شود).

به طور خاص، وزارت امنیت اطلاعات، علاوه بر ترکیب و تجزیه و تحلیل رفتارهای حمله گروه‌های مهاجم در ۳ کمپین حمله هدفمند که سیستم‌های اطلاعاتی مهم را هدف قرار می‌دهند، از جمله: کمپین حمله مربوط به باج‌افزار Mallox، کمپین گروه Lazarus که از برنامه‌های ویندوز برای جعل هویت پلتفرم‌های کنفرانس ویدیویی برای انتشار انواع بدافزار استفاده می‌کند و کمپین گروه Stately Taurus که از VSCode برای حمله به سازمان‌هایی در آسیا سوءاستفاده می‌کند، شاخص‌های حمله سایبری - IoC - را نیز منتشر کرده است تا سازمان‌ها، سازمان‌ها و مشاغل در سراسر کشور بتوانند خطرات اولیه حملات سایبری را بررسی و تشخیص دهند.

بلافاصله قبل از آن، در آگوست 2024، وزارت امنیت اطلاعات همچنین به طور مداوم هشدارهایی در مورد سایر کمپین‌های حمله هدفمند خطرناک مانند موارد زیر صادر کرد: کمپینی که از تکنیک «تزریق AppDomainManager» برای انتشار بدافزار استفاده می‌کند و به عنوان مرتبط با گروه APT 41 شناخته می‌شود و سازمان‌هایی را در منطقه آسیا و اقیانوسیه ، از جمله ویتنام، تحت تأثیر قرار می‌دهد؛ کمپین حمله سایبری انجام شده توسط گروه APT StormBamboo که ارائه دهندگان خدمات اینترنتی را هدف قرار می‌دهد، با هدف استقرار بدافزار روی سیستم‌های macOS و ویندوز کاربران برای به دست گرفتن کنترل و سرقت اطلاعات مهم؛ کمپین حمله سایبری انجام شده توسط گروه حمله APT MirrorFace که «هدف» آن مؤسسات مالی، مؤسسات تحقیقاتی و تولیدکنندگان هستند...

مدل مرحله حمله ۱.jpg
نمودار مراحل حمله گروه APT StormBamboo که ارائه دهندگان خدمات اینترنتی را هدف قرار می‌دهد، که توسط وزارت امنیت اطلاعات در 6 آگوست 2024 هشدار داده شده است. عکس: NCSC

اطلاعات مربوط به گروه‌های مهاجم هدفمند که سازمان‌ها و مشاغل بزرگ در ویتنام را هدف قرار می‌دهند، موضوعی است که Viettel Cyber ​​​​Security در گزارش وضعیت امنیت اطلاعات در ویتنام در نیمه اول سال جاری، بر تجزیه و تحلیل و به اشتراک گذاری آن تمرکز دارد.

به طور خاص، تجزیه و تحلیل کارشناسان امنیت سایبری Viettel نشان می‌دهد که در نیمه اول سال 2024، گروه‌های حمله APT ابزارها و بدافزارهای مورد استفاده در کمپین‌های حمله را ارتقا داده‌اند. بر این اساس، روش اصلی حمله گروه‌های APT استفاده از اسناد و نرم‌افزارهای جعلی برای فریب کاربران جهت اجرای بدافزار است؛ و تکنیک محبوب مورد استفاده بسیاری از گروه‌ها DLL-Sideloading است که از فایل‌های اجرایی سالم برای بارگذاری DLLهای مخرب یا از طریق آسیب‌پذیری‌های امنیتی CVE استفاده می‌کند.

گروه‌های APT که توسط سیستم فنی Viettel Cyber ​​​​Security ارزیابی شده‌اند و تأثیر عمده‌ای بر مشاغل و سازمان‌های ویتنام در ماه‌های اول سال 2024 داشته‌اند عبارتند از: Mustang Panda، Lazarus، Kimsuky، SharpPanda، APT32، APT 28، APT27.

اقداماتی برای جلوگیری از خطر اولیه حمله APT به سیستم

در هشدارهایی در مورد حملات APT، وزارت امنیت اطلاعات از سازمان‌ها، نهادها و مشاغل خواسته است تا سیستم‌های اطلاعاتی خود را که ممکن است تحت تأثیر این حمله قرار گیرند، بررسی و بازبینی کنند. در عین حال، به طور فعال اطلاعات مربوط به حملات سایبری را رصد کنند تا از آنها در مراحل اولیه جلوگیری کرده و از خطر حمله جلوگیری کنند.

W-information-system-security-1-1.jpg
به آژانس‌ها، سازمان‌ها و مشاغل داخلی توصیه می‌شود هنگام شناسایی علائم سوءاستفاده و حملات سایبری، نظارت خود را تقویت کرده و برنامه‌های واکنشی را آماده کنند. عکس: لس‌آنجلس

در عین حال، به واحدها توصیه می‌شود که هنگام شناسایی علائم سوءاستفاده و حملات سایبری، نظارت را تقویت کرده و برنامه‌های واکنشی را آماده کنند؛ به طور منظم کانال‌های هشدار مقامات و سازمان‌های بزرگ امنیت اطلاعات را رصد کنند تا به سرعت خطرات حملات سایبری را تشخیص دهند.

در زمینه حملات سایبری، از جمله حملات هدفمند، که به طور مداوم در سطح جهان و در ویتنام در حال افزایش است، کارشناسان امنیت اطلاعات به سازمان‌ها و مشاغل داخلی نیز توصیه کرده‌اند که برای به حداقل رساندن خطرات و حفظ تداوم فعالیت‌های تولیدی و تجاری، بر روی تعدادی از اقدامات تمرکز کنند.

این موارد عبارتند از: بررسی فرآیندها و سیستم‌های مدیریت داده‌های مشتری و داده‌های داخلی؛ بررسی پیشگیرانه علائم نفوذ به سیستم، تشخیص و پاسخ زودهنگام به گروه‌های حمله هدفمند؛ بررسی و ارتقاء نسخه‌های نرم‌افزارها و برنامه‌های کاربردی حاوی آسیب‌پذیری‌های امنیتی با تأثیرات جدی...

کارکنان فنی از کشورهای آسیا و اقیانوسیه، واکنش به حملات APT را تمرین می‌کنند . رزمایش بین‌المللی APCERT 2024 با موضوع «واکنش به حملات APT: یافتن راه‌حل برای مشکلات دشوار» در تاریخ 29 آگوست با مشارکت کارکنان فنی از ویتنام و دیگر کشورهای آسیا و اقیانوسیه برگزار شد.